Claude Code négy óra alatt feltöri a FreeBSD-t

Nicholas Carlini biztonsági kutató, az Anthropic AI modellje által támogatva Claude, azonosított egy sebezhetőséget a FreeBSD operációs rendszerben, és négy órán belül ki is használta azt. Claude képes volt egy működő exploit létrehozására is. A sebezhetőséget CVE-2026-4747 néven jelentették.

A FreeBSD operációs rendszer számos műszaki ágazatban számos termék alapjául szolgál. Olyan vállalatok, mint az IBM, a Nokia, a Juniper Networks és a NetApp használják a rendszert infrastruktúrájuk fejlesztéséhez. A Apple'macOS egyes részei szintén a FreeBSD összetevőin alapulnak.

A szórakoztatóiparban a FreeBSD elemei megtalálhatók a PlayStation 3, a PlayStation 4 és a Nintendo Switch operációs rendszerében. Emellett olyan nagyméretű, hálózat-orientált szolgáltatások, mint a Netflix és a WhatsApp is ennek a rendszernek az architektúrájára támaszkodnak. A sebezhetőség az RPCSEC_GSS modulban található, amely a Kerberos hitelesítésért felelős az NFS szervereken.

A kihasználás egy úgynevezett stack buffer túlcsordulást használt ki. Ennek során az adatok egy nem elég nagy memóriaterületre íródnak, ami a szomszédos memóriaterületek felülírását okozhatja. Az Anthropic egy hamarosan megjelenő, "Mythos" nevű modelljével kapcsolatos információk azt sugallják, hogy az ilyen kihasználások még rövidebb idő alatt is megvalósulhatnak.

Az a sebesség, amellyel a sebezhetőségek azonosíthatók és közvetlenül működőképes kihasználásokká alakíthatók, megváltoztatja az IT-biztonság dinamikáját. Míg a hagyományos javítási ciklusok - a biztonsági tanácsadás és a frissítés telepítése közötti időszak - a vállalati környezetekben gyakran hetekig is eltarthat, az automatizált kihasználás már órák alatt működik.